URL Normalization Turns a Harmless Request into a Cache-Poisoned XSS Attack 文章探讨了URL规范化漏洞如何引发缓存中毒和跨站脚本（XSS）攻击。浏览器自动编码阻止payload执行，但缓存处理时的规范化使攻击成为可能。... 2025-9-12 06:34:43 | 阅读: 1 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com ethical strictly applicable differently

“That One Time I Found a Golden Ticket in a Desktop App” 文章讲述了一位安全研究人员通过分析Electron桌面应用发现漏洞的经历。Electron应用通常包含完整的源代码和敏感文件，开发者有时会不小心将其打包进应用中。作者通过检查这些文件发现了漏洞，并强调这类简单但常见的问题往往容易被忽视。... 2025-9-12 06:10:49 | 阅读: 2 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com developers download aha blowing sizei

13. My First Private Program Experience (and Mistakes I Made) Abhijeet Kumawat分享了自己从零开始成为漏洞赏金猎人的经验，并通过25篇深入文章指导新手在网络安全领域取得成功。他强调了坚持、耐心和智慧狩猎的重要性，并希望通过自己的经历帮助更多人少走弯路。... 2025-9-12 05:52:5 | 阅读: 1 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com scratch tips enthusiast insider

Cracking Forensics CTFs 1.0 — picoCTF 文章介绍了作者在CTF取证挑战中的系统化思路：首先确定文件类型并提取内容；其次通过查看内容识别数据类型；最后分析数据结构以寻找线索。强调思维方式的重要性而非死记硬背工具命令。... 2025-9-12 05:38:48 | 阅读: 3 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com mindset ctfs corrupted gunzip screams

Vulnerability Capstone | TryHackMe (THM) 用户需要总结一篇关于安全审计任务的文章，控制在100字以内。文章描述了对新博客进行安全审计的过程，包括部署易受攻击的机器、识别Fuel CMS版本1.4及其相关CVE编号（CVE-2019-16278）。... 2025-9-12 05:38:33 | 阅读: 3 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com machine security visiting tryhackme publishing

Help!! 一个开放的黑客社区，旨在帮助新手成长为资深人士，提供问答和学习机会，并通过Discord平台连接活跃成员。... 2025-9-12 05:36:3 | 阅读: 4 | 收藏 | Your Open Hacker Community - www.reddit.com gg ep2ukug howtohack neophyte veteran

npm Supply Chain Attack — IoCs, Detection & Remediation 钓鱼攻击导致npm核心开发者凭证被盗,攻击者利用此漏洞发布恶意包,影响数百万每周下载量,文章提供检测脚本和修复指南以帮助开发者应对此类供应链攻击事件。... 2025-9-12 05:26:19 | 阅读: 4 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com developers backdoored phishing defend download

Smol TryHackMe Walkthrough — WordPress Plugin Exploit & Privilege Escalation Guide 文章描述了一次针对WordPress网站的渗透测试过程：通过扫描发现服务、利用插件漏洞获取数据库凭证、登录后台并利用命令执行漏洞获得反向shell、访问数据库获取用户密码哈希并成功破解后提取用户标志文件及提取压缩包密码的过程。... 2025-9-12 05:26:2 | 阅读: 2 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com wp wordpress php thm smol

“Beyond the Obvious: How a Dead-End XXE Led to a Critical SQLi Goldmine” 研究人员在尝试通过文件上传漏洞攻击目标时，发现服务器将上传内容误认为XML并返回错误信息。经过多次尝试和分析后，研究人员意识到需要构造有效的XML格式文件以绕过限制，并最终成功利用该漏洞。... 2025-9-12 05:25:55 | 阅读: 1 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com burp subdomain php frustrating shells

“Beyond the Obvious: How a Dead-End XXE Led to a Critical SQLi Goldmine” 测试文件上传功能时发现服务器将文件误认为XML或JSON格式并返回详细错误信息最终通过分析错误提示找到漏洞所在展示了耐心和细致分析的重要性。... 2025-9-12 05:25:55 | 阅读: 1 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com php burp subdomain amass senses

HTB Titanic Walkthrough 文章描述了一次网络安全渗透测试的过程：使用Nmap扫描目标IP 10.10.11.55，发现开放端口22和80；通过LFI漏洞读取系统文件并获取用户信息；枚举子域名发现dev.titanic.htb并利用Gitea配置文件获取数据库信息；破解开发者密码并通过ImageMagick漏洞获得root权限。... 2025-9-12 05:23:24 | 阅读: 3 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com developer gitea titanic download htb

SMS vs Authenticator App: Which One Should You Choose for Two-Factor Authentication? 文章指出，在线账户安全中常用的两种双重认证方式为短信验证码和身份验证应用。前者因SIM卡交换攻击和传输不加密等问题存在安全隐患。后者则更为安全可靠。... 2025-9-12 05:21:50 | 阅读: 1 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com winkler markus security sizephoto

URL Normalization Turns a Harmless Request into a Cache-Poisoned XSS Attack 文章探讨了URL规范化漏洞如何导致缓存中毒和跨站脚本（XSS）攻击。浏览器自动编码阻止直接执行payload，但缓存服务器在存储前对URL进行规范化处理，使无害请求变为带有缓存中毒的XSS攻击。... 2025-9-12 05:20:40 | 阅读: 1 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com strictly ethical compromises laws

I Bypassed a Login Page With a Single Request 文章描述了一次通过误配置的CDN导致的认证绕过漏洞发现过程。作者在测试登录流程时意外触发了Web缓存欺骗攻击，利用CDN与服务器之间的通信问题实现了完全的登录绕过。该漏洞展示了即使简单配置错误也可能造成严重安全风险。... 2025-9-12 05:20:28 | 阅读: 0 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com deception bypass librarian fancy

Smuggle Your Way to Bounties: Mastering HTTP Request Smuggling in 2025 文章介绍了一种名为HTTP请求走私的漏洞利用技术，通过利用前端和后端服务器对HTTP请求解析的不同步（如Content-Length或Transfer-Encoding头），攻击者可以实现认证绕过、缓存中毒等高危操作。文章以Burp Suite为例，指导读者如何识别和利用此类漏洞，并强调其在现代Web应用中的严重性及潜在的高额漏洞赏金。... 2025-9-12 05:10:5 | 阅读: 1 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com te desyncs frontend malicious

Cursor AI Code Editor Flaw Enables Silent Code Execution via Malicious Repositories 文章指出AI代码编辑器Cursor存在安全漏洞，默认关闭Workspace Trust功能可能导致恶意代码执行。此外，提示注入攻击和传统安全漏洞（如SQL注入、跨站脚本）也威胁AI工具的安全性。... 2025-9-12 04:49:0 | 阅读: 2 | 收藏 | The Hacker News - thehackernews.com security claude malicious injection attacker

一根路亚卖出 60 万支，两个门外汉在拼多多圈粉年轻钓鱼佬？ 当前环境异常,需完成验证后继续访问。... 2025-9-12 04:2:0 | 阅读: 1 | 收藏 | 极客公园 - mp.weixin.qq.com

AI算力从云端「下放」，Arm 为手机备好了「新引擎」 当前环境异常，请完成验证后继续访问。... 2025-9-12 04:2:0 | 阅读: 3 | 收藏 | 极客公园 - mp.weixin.qq.com

Reviving a classic Korean online puzzle videogame - TwinHexa Arcade | Hipnosis' Stuff 2025-9-12 04:1:9 | 阅读: 1 | 收藏 | Reverse Engineering - www.reddit.com

大规模网络扫描瞄准思科ASA设备或预示新漏洞即将出现 近期针对思科ASA设备的大规模网络扫描活动引发关注。8月末出现两次高峰，2.5万个独立IP对ASA登录入口及Telnet/SSH服务进行探测。研究人员警告这可能预示新漏洞即将披露，并建议加强安全措施。... 2025-9-12 04:0:0 | 阅读: 2 | 收藏 | 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com - www.4hou.com asa 思科 网络 漏洞 安全